Mēneša sākumā mēs dalījāmies šeit emuārā ziņas par izstrādātāju, kurš sabotēja savu atvērtā pirmkoda projektu, "Maraks Squires", divu populāru atvērtā pirmkoda bibliotēku autors, color.js un faker.js, jūs apzināti sabojājāt abas bibliotēkas.
Šo divu bibliotēku izstrādātājs ieviesa failu pārskatīšanu vietnē GitHub Colors.js, kas pievieno jaunu Amerikas karoga moduli, kā arī ievieš faker.js versiju 6.6.6, kas izraisa to pašu notikumu iznīcināšanu.
Sabotētās versijas liek lietotnēm nepārtraukti ražot burtus un simbolus svešiniekiem, sākot ar trīs teksta rindiņām, kas skan "LIBERTY LIBERTY LIBERTY".
Jāteic, ka pēc bibliotēku korupcijas, Microsoft ātri apturēja jūsu piekļuvi GitHub un pārtrauca projektus npm.
GitHub pārstāvis piedāvāja šo paziņojumu sistēmas veiktajām darbībām:
“GitHub ir apņēmies nodrošināt npm reģistra veselību un drošību. Mēs noņemam ļaunprātīgās pakotnes un apturam lietotāja konta darbību saskaņā ar npm pieņemamas lietošanas politiku attiecībā uz ļaunprātīgu programmatūru, kā noteikts mūsu atvērtā pirmkoda noteikumos.
Uzņēmums izlaida arī šādus drošības ieteikumus:
Colors ir bibliotēka krāsaina teksta iekļaušanai node.js konsolēs. No 7. gada 9. līdz 2022. janvārim tika izlaistas krāsu versijas 1.4.1, 1.4.2 un 1.4.44-liberty-2, kas ietvēra ļaunprātīgu kodu, kas izraisīja pakalpojuma atteikumu bezgalīgas cilpas dēļ. Programmatūrai, kas bija atkarīga no šīm versijām, konsolē tika drukātas nejaušas rakstzīmes un bezgalīga cilpa, kas izraisīja nesaistītu sistēmas resursu patēriņu. Krāsu lietotājiem, kuri paļaujas uz šīm konkrētajām versijām, vajadzētu pāriet uz versiju 1.4.0.
Lai gan dažiem tas var būt acīmredzams (izstrādātājs veicināja apņemšanos ar ļaunprātīgu kodu, un GitHub un npm to izdarīja pareizā lieta, lai aizsargātu savus lietotājus), ir izcēlušās debates par izstrādātāju tiesībām to darīt atkarībā no tā, cik daudz projektu un atkarību viņiem var būt.
“Atkarības radītais risks ir augsts ar nelielām atkarībām, kuras biežāk izmanto viens nepārbaudīts izstrādātājs, instalējot, izmantojot pakotņu pārvaldnieku, piemēram, npm, cargo, pypi vai līdzīgu. Taču, kad šajā pusē kaut kas noiet greizi, visi uzreiz pamana un cilvēki ātri prasa līdzekļus. Tomēr ne šīs atkarības patiešām uztur mūsu ekonomiku. Daudzas no šīm atkarībām ir kļuvušas par pamatu, nevis tāpēc, ka tās atrisina sarežģītu problēmu, bet gan tāpēc, ka mēs visi kopā esam sākuši pieņemt slinkumu pāri visam. Kad mēs savas finansēšanas diskusijas koncentrējam uz šāda veida atkarībām, mēs netieši novēršam uzmanību no patiešām svarīgajām paketēm.
Ņemot to vērā, jebkura apturēšana šķiet nepamatota kodu krātuvēs pieder tās radītājam/uzturētājam. Jā, tas ir atvērtais avots tādā nozīmē, ka jūs varat to izveidot un dot savu ieguldījumu, taču vai tas nozīmē, ka GitHub var attaisnot liegt jums tiesības modificēt vai pat iznīcināt jūsu kodu? Vai šāda veida lēmumā ir “pienācīgs process”?
Citas problēmas, kas radušās saistībā ar šiem notikumiem, ir par to, kā pareizi atalgot cilvēkus par darbu, ko viņi ir paveikuši pie atvērtā pirmkoda programmatūras, kas ir pamatā citai, lielākai programmatūrai, kas ļauj lielajām korporācijām gūt milzīgu peļņu.
Šajā gadījumā šīs JavaScript bibliotēkas izmanto Amazon Cloud SDK, kas ir daļa no AWS.
Lai gan color.js un faker.js bauda sponsorēšanu kuras mērķis ir nodrošināt, ka atvērtā pirmkoda kopienas saņem samaksu par darbu, ko tās dara, pastāv milzīga nesaskaņa starp izstrādātājiem, kuri izstrādāja un ieviesa tādas populāras pakotnes kā color.js un faker. js saņemšanu un tā vērtību uzņēmumiem, kas atkārtoti izmanto savu darbu bez maksas.
Jebkurā gadījumā Marak Squires konts tika atkal aktivizēts, un viņš uzrakstīja šo:
“Es noņēmu zalgo infinity kļūdu ar colors.js v2.2.2 un gaidu Github atbalsta ziņojumu, lai atgūtu manas NPM publicēšanas tiesības.
"69. Medicīnas sociālo mediju nodaļas tikumīgajiem dalībniekiem:
“Paldies par jūsu domām un lūgšanām.
"Es varu jums apliecināt, ka esmu vesels gan miesā, gan prātā. Es pievienoju sertifikātu no Reid Mental Institution, kas bez šaubām pierāda, ka man, Maraks Skvairs, nav ēzeļa smadzenes.
"Vai Sociālo tīklu ārstu 69. nodaļas dalībnieki var iesniegt dokumentu, kas pierāda, ka viņiem nav ēzeļa smadzeņu?" »
Sveiki, mani sauc Džeims del Valle, un es strādāju EdTech. Mēs organizējam bezmaksas pasākumu, lai runātu par tēmu: Brīvā programmatūra: cik lielā mērā tai vajadzētu būt bezmaksas?
Aicinām Jūs kā runātāju, provizoriskais datums otrdien, 19.aprīlī plkst.7 digitālā formātā, vai vēlaties piedalīties?